瞭解 CVSS:通用漏洞評分系統的應用
漏洞威脅管理至關重要,因為網路犯罪是一種持續存在的全球風險。網路犯罪分子願意利用軟體中的任何漏洞來訪問網路和裝置。對使用該軟體的軟體開發人員和組織的影響可能很嚴重。使用者必須處理攻擊的結果,例如贖金或資料盜竊,並且還可能面臨法律後果、經濟損失和聲譽受損。
開發人員應該測試程式碼缺陷,評估漏洞,並在釋出前修復它們,但終端使用者也應該有一個強大的漏洞威脅管理計劃,以保護自己免受網路犯罪的破壞性影響。
通用漏洞評分系統旨在幫助軟體開發人員和使用者評估其軟體的漏洞,並制定一個穩健的VTM計劃,以確保其系統儘可能安全。
軟體漏洞
每年都有越來越多的軟體漏洞被發現,網路犯罪分子已經準備好滲透系統以獲取他們的優勢。軟體漏洞是由於程式碼中的錯誤造成的,例如漏洞或漏洞,使攻擊者能夠注入或修改程式碼,從而完全訪問系統的資料。
例如,虛擬聯絡中心軟體開發人員可能會在其產品釋出之前識別編碼漏洞,或者如果在釋出後發現漏洞,建立補丁來修復漏洞。
什麼是 CVSS?
軟體開發人員、漏洞研究人員和威脅管理團隊使用通用漏洞評分系統來識別軟體漏洞。CVSS 提供了一個標準化的評分系統來評估軟體漏洞的嚴重性。然後可以有效地優先考慮這些威脅以及消除它們所需的行動。
現在,CVSS 由美國非營利性公司事件響應和安全團隊論壇 (FIRST) 擁有和管理,並得到來自各個行業的一組代表的支援,這些代表致力於幫助保護組織免受網路威脅。
分數是如何計算的?
CVSS 分數結合了三組指標:
基本指標
基本分數代表漏洞的特徵,並且在使用者環境中是一個常數。基礎分數結合了三個子分數元素:
可利用性
評估了漏洞被利用的難易程度,並基於另外四個子元件:
攻擊向量——對利用漏洞所需的訪問級別進行評分。如果一個漏洞可以被遠端利用,那麼它的得分將高於只有物理存在時才能利用的漏洞。
攻擊複雜性——評估攻擊者控制範圍之外的因素,這些因素會影響他們利用漏洞的潛力。如果攻擊者在沒有任何附加資訊的情況下很容易利用該漏洞,那麼它就會獲得高分。
所需許可權——該分數基於攻擊者利用漏洞所需的許可權級別。如果需要高階身份驗證,那麼它的得分將低於不需要身份驗證的得分。
使用者互動——這個分數取決於攻擊者是否需要其他使用者的操作來利用漏洞。例如,攻擊者可能需要使用者下載會計和稅務服務模板的提案,以啟用他們注入的程式碼以利用他們的軟體漏洞。如果攻擊者可以在沒有其他使用者進一步操作的情況下完成他們的任務,則得分會更高。
影響
影響分值衡量攻擊的潛在後果,包含三個因素:
保密性——反映可能被洩露或丟失的資料量。
完整性——對攻擊者可以對系統中的資料施加的操縱程度和資料的可信性進行評分,應用ACID原則等特性進行攻擊。
可用性——反映了攻擊對其他使用者訪問系統的能力的影響。如果系統受到攻擊後其他人無法訪問該系統,則得分將很高。
範圍
這主要關注攻擊對系統中其他元件的影響能力。如果漏洞允許潛在的攻擊者訪問系統的其他區域,那麼它將獲得高分。
時間指標
這些漏洞可能會隨著時間的推移而變化,並且基於已知可利用的漏洞以及修補這些漏洞的可用性或方法。例如,一個企業託管的VoIP軟體包可能會發現一個新的漏洞,但可能需要幾個月的時間來開發一個補丁來保護它。
一個新的漏洞,如果沒有任何方法來糾正它,風險是很高的。如果提供了補丁或更新來保護漏洞,得分可以降低。
時間指標基於:
利用程式碼成熟度——這反映了利用漏洞所需的工具和方法的可用性。
修復級別——此分數取決於何時可以使用適當的修復來修復漏洞。
報告置信度——衡量對報告準確性的置信度。如果在沒有證據的情況下報告漏洞,則得分較低。
環境指標
此分數對於發現漏洞的環境是唯一的。它的獨特之處在於它需要一種基於風險的方法,該方法考慮組織的安全協議、易受攻擊的元件對其系統的重要性以及任何安全漏洞對漏洞的影響。
使用環境指標來定製基礎分數,考慮以下因素:
可訪問性——評估漏洞對單個系統元件的影響。非特權使用者終端的得分將低於管理員終端。
安全性——評估安全協議以減少潛在的攻擊。例如,遠端辦公人員使用vpn來消除對網際網路的直接訪問。
CVSS 分數
CVSS 分數範圍從 0.0(無威脅)到 10.0(嚴重威脅)。
基礎分數包括可利用性和影響分數。但是,時間和環境評分透過考慮時間點和使用者環境,有助於更深入地瞭解漏洞。
基本和時間分數通常由軟體製造商生成,他們將使用詳細的資料來識別測試期間的任何漏洞。然後,終端使用者計算環境評分,他們可以識別任何可能影響漏洞威脅的獨特因素,並更改基本和時間評分。
背景很重要
基礎分數可以單獨使用。要獲得更準確的分數,可以應用時間和環境分數。只有終端使用者知道他們使用軟體的環境,以及這樣做是否會增加或消除漏洞的威脅。
CVSS分數不反映透過漏洞攻擊的潛在影響或可能性,因此應用上下文是重要的。不要僅僅依賴於CVSS分數來保護對你的組織至關重要的系統。
駭客並不關注高分漏洞。利用低分漏洞可能對他們來說更有利可圖,特別是如果忽略該漏洞而將注意力集中在得分較高的漏洞上。
如何應用 CVSS 分數
一個有效的漏洞管理團隊將使用 CVSS 分數作為基礎,然後應用環境和時間分數以及他們獨有的變數,以更準確地瞭解漏洞的可利用性及其可能對其組織產生的影響。此外還需要結合企業的其他法規,來評定利用該漏洞可能造成的潛在損害並確定修補的優先順序。
可以使用線上資料庫和威脅情報工具來修改基本 CVSS 分數。這些可以幫助您應用環境變數來確定漏洞的可利用性和影響。然後,您可以優先考慮那些一旦被利用就會對您的組織造成最大危險的漏洞。
總結CVSS
軟體漏洞帶來的無窮無盡的風險給虛擬機器管理人員帶來了挑戰。CVSS幫助識別潛在漏洞並評估其嚴重性的關鍵工具。
標準化平臺有助於簡化組織的流程,以幫助加強其IT安全。
文章來源:
https://www.cybersecurity-insiders.com/understanding-cvss-applications-of-the-common-vulnerability-scoring-system/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2910648/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 通用漏洞評分系統 (CVSS)系統入門指南
- VMware 修復CVSS評分9.8的身份驗證繞過漏洞
- 安全測試|網路安全漏洞分類分級指南、CVSS、DREAD的通用思路
- libwebp影像庫漏洞已在攻擊中被利用,CVSS評級滿分Web
- CVSS評分10.0,思科披露其BroadWorks平臺身份認證繞過漏洞
- 最新CVSS 4.0漏洞嚴重性評級標準釋出
- 10分鐘帶你瞭解 Linux 系統中的 Top 命令Linux
- 如何系統的瞭解KafkaKafka
- 三分鐘瞭解沉浸式投影的組成及應用
- 開放式漏洞評估系統 - OpenVAS
- 你應該瞭解的MySQL鎖分類MySql
- 瞭解安卓架構(linux核心層、系統執行庫層、應用框架層、應用層)安卓架構Linux框架
- 後端開發都應該瞭解的登入漏洞後端
- ELK日誌系統之通用應用程式日誌接入方案
- 快應用簡單瞭解
- 三分鐘瞭解B2B CRM系統的特點
- 從全息櫃分類中瞭解全息投影展示的應用特點
- win10重灌系統完了沒有應用圖示瞭解決方法Win10
- ERP系統開發 ERP系統詳解及應用
- 三分鐘瞭解互動滑軌屏的實現原理與應用
- 全面系統講解CSS 工作應用CSS
- 應用層,瞭解一下
- 3分鐘瞭解如何跨應用、跨形態無縫登入
- 應勢而生 全新IOT漏洞定級評分標準試執行!
- 瞭解企業MRO平臺,供應鏈MRO系統需求分析
- IHSE KVM坐席管理系統應用案例價值探究與評價
- 幫助您瞭解和建立ReactJS應用的快速指南ReactJS
- Docker從瞭解到部署應用的詳細教程Docker
- K8s 下的應用管理 — 瞭解 HelmK8S
- K8s 下的應用管理 — 瞭解 HelmfileK8S
- 關於Linux系統和Windows系統你瞭解多少?LinuxWindows
- 官宣:幾分鐘讓你深入瞭解這個免費OA系統
- redis快取和業務應用瞭解Redis快取
- UDP 協議簡單瞭解及應用UDP協議
- 多使用者電商分銷系統的創新與應用
- 商城系統原始碼你瞭解多少?原始碼
- MLSys 2020提前看:多面瞭解機器學習系統標準、加速方法和應用場景機器學習
- 啟用遠端系統上的應用